MOVE:Sui MoveCTF 攻防_MOVI幣

官網

https://movectf.movebit.xyz/

Git:https://github.com/shanxuanchen/MoveCTF

題目1

第一題是checkin題，需要用戶準備好環境即可。觸發合約，然后提交對應的簽名即可。

題目2

這道題其實稍微有點難～～～～

我們先看一下getflag的條件：

要拿到TreasuryBox

Mysten Labs已推出Sui Wallet和Sui Explorer:金色財經報道，Sui 開發公司 Mysten Labs 已推出兩款基于 Sui 的產品：Sui Wallet 和 Sui Explorer。其中 Sui Wallet 是一個開源、自托管錢包，可幫助用戶訪問 Sui 并與之交互；Sui Explorer 則可查詢 Sui 主網的最新信息。[2023/5/4 14:41:32]

隨機數要剛好達到0

我們知道其實隨機數達到0的概率非常小，其實此時幾乎可以確定此題的最大考點：

Sui CTO：Aptos在刻意打壓Sui以及相關開發者:金色財經報道，Move編程語言之父，Sui Network CTO Sam Blackshear發推特，喊話Aptos Network，表示得知Aptos有意施壓Pontem Network，取消兩個Move語言開發者OGs以及Move編譯器的作者在movecon.live上的演講，并將Sui基金會從本次活動組織者名單中剔除。[2023/3/1 12:35:35]

**隨機數攻擊**

Sui開發團隊Mysten Labs將在希臘設立工程中心以拓展歐盟和中東市場:9月20日消息，Sui開發團隊Mysten Labs宣布將把希臘設為其下一個工程中心的所在地，并招聘15名智能合約工程師，當地團隊的主要任務是擴大和加強Sui生態，同時進一步發展歐盟和中東市場。Mysten Labs在9月初完成3億美元融資，估值超過20億美元，該公司5名聯合創始人中有2位是希臘人，天使投資人中有8位也來自于希臘。（The Recursive）[2022/9/20 7:08:25]

1.拿到TreasureBox

從slay_boar_king的方法里可以看到，當滿足d100==0時，sender就可以拿到box資源。當然，我們前提是要能打贏怪物boar。打贏怪物boar純屬就是一個簡單的循環邏輯了，只要攻擊力和防御力有一定就可以了。

所以，我們需要循環100多次slay_boar。然后積累一定的經驗值，然后升級即可。

2.隨機數要剛好達到0

本題的兩個隨機數重要變量是：

txhash

ids_created

我們采取的攻擊方法很簡單：

**固定txHash，然后模擬隨機數的生成，然后遍歷ids_created**。

最難的部分是自己手動組裝seed，這里直接放答案：

題目3

這套我是AC了的。這道題有很大的漏洞，因為create_lend是一個public方法。通過創建一個0債務的新的資源，然后提交flag即可。

題目4

這道題其實就是考move的循環題，基本功的題目，兩次循環結果就能出來了。

參考鏈接：

https://mp.weixin.qq.com/s/-OFe_E_XTzdRgBB0ilu9aw

來源：bress

Tags：SUIMOVMOVEMYST幣圈去中心化交易所如何借sui幣MOVI幣move幣判決MYST價格

DOGE